Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

iPhone (dé)verrouillé : le FBI attaqué sur l'achat d'une faille secrète

Combien vaut une faille ?
Droit 4 min
iPhone (dé)verrouillé : le FBI attaqué sur l'achat d'une faille secrète
Crédits : DKart/iStock

Trois médias américains ont déposé plainte vendredi dernier contre le FBI. Ils veulent obtenir les détails d’un achat réalisé plus tôt dans l’année : une faille de sécurité permettant de débloquer un iPhone 5c obtenu dans le cadre d’une enquête.

Rappel des faits. En décembre 2015, Syed Rizwan Farook et sa femme provoquent une tuerie à San Bernardino. Ils assassinent 14 personnes devant un centre commercial en tirant sur les passants. Ils sont abattus peu après par les forces de l’ordre. Dans l’enquête qui suit, le FBI récupère l’iPhone 5c de Farook mais se heurte rapidement à un mur.

Le mur du chiffrement

Les enquêteurs souhaitent accéder au contenu, mais il est chiffré. La clé utilise le code de verrouillage à quatre chiffres comme composante, rendant l’obtention du code nécessaire. Le FBI demande de manière répétée à Apple de déchiffrer l’appareil, ce que la firme refuse : n’ayant pas accès au code, elle ne peut elle-même accéder au contenu. Le FBI réclame alors la création d’un outil permettant de contourner la protection, démarrant un véritable feuilleton dans lequel l’un et l’autre vont produire de nombreux arguments.

Le FBI finit par déposer plainte contre Apple pour obliger la firme à produire ledit outil. La tension monte pendant plusieurs semaines, jusqu’à ce que l’agence américaine arrête tout : elle vient de trouver un autre moyen d’accéder aux données. Elle indique qu’un groupe de personnes s’est présenté de lui-même en affirmant être en mesure de casser le chiffrement de l’iPhone. Peu de temps après, le FBI confirme que la méthode est fonctionnelle, créant rapidement des soupçons autour d’une ou plusieurs failles. James Comey, directeur du bureau, confirmera quelques jours plus tard qu’il s’agissait bien d’une vulnérabilité, monnayée au moins 1,3 million de dollars.

Mais qui donc a vendu la faille de sécurité ?

S’est ouvert alors une période où les rôles se sont inversés. Apple a en effet réclamé au FBI les détails de la faille : la perspective d’une brèche dans sa sécurité, potentiellement exploitable sur d’autres modèles, représentait une épée de Damoclès. Surtout pour un constructeur qui a fait du respect de la vie privée l’un de ses chevaux de bataille. Pour le FBI, pas question de donner les détails. La réutilisation dans d’autres enquêtes était un facteur primordial.

Cette guerre a attiré de nombreux regards. Trois organes américains de presse ont en particulier cherché à en savoir beaucoup plus. The Associated Press, USA Today et Vice Media ont déposé séparément des demandes d’obtention des détails sur l’accord passé par le FBI avec le groupe qui lui a vendu la faille de sécurité. Basées sur la loi Freedom of Information Act (FOIA), ces requêtes visaient à ouvrir au public les détails contractuels et financiers de l’accord. Point important, les trois médias ne demandaient pas d’informations sur le résultat technique de la méthode utilisée.

Nouvelle requête en tir groupé

Ces demandes ont toujours été rejetées. Mais vendredi, les trois mêmes entreprises sont une nouvelle fois passées à l’attaque, cette fois de manière groupée. À nouveau basée sur la FOIA, la plainte expose le raisonnement de ses auteurs : « Les informations autour de l’accord contractuel du FBI permettraient la transparence sur la manière dont les fonds publics sont utilisés. Connaître le montant que le FBI a estimé approprié de dépenser dans l’outil, ainsi que l’identité et la réputation du vendeur avec lequel il a fait affaire, est essentiel pour que le public supervise efficacement les fonctions gouvernementales et empêchent d’éventuelles inconvenances ».

Pour les plaignants, un public informé est une composante cruciale dans le débat actuel sur le paysage législatif américain autour de ces enquêtes. Quand le FBI tâchait en effet de forcer Apple à percer les défenses de son propre système, la firme répétait que le gouvernement dépassait ses prérogatives, une forme d’abus de pouvoir que la plainte aborde également. Depuis, le débat sur l’efficacité des lois reste pleinement ouvert dans le pays, les trois plaignants estimant que ces informations sont plus que pertinentes dans un tel cadre. Sans parler du débat tout aussi vaste sur la place du chiffrement.

De la valeur d'une faille

Reste qu’il n’y a aucune garantie que cette nouvelle demande, même groupée, puisse aboutir. Les trois requêtes précédentes ont toutes rencontré la même réponse du FBI : révéler ces informations mettrait en danger son pouvoir d’investigation. Rappelons également que toute faille de sécurité passant aux mains d’une émanation du gouvernement américain traverse un processus d’examen. S’il est estimé que la faille a plus de valeur secrète, ses détails ne pourront pas être transmis à l’éditeur correspondant, quoi qu’il puisse faire.

60 commentaires
Avatar de Arystos INpactien
Avatar de ArystosArystos- 20/09/16 à 06:41:02

Au final, le FBI ne donnera jamais d'informations pour protéger le groupe en question, et surtout pour se protéger lui même.

C'est fou comme ils appliquent les lois différemment selon que tu sois au gouvernement ou que tu fasses parti de la plèbe... Bon, en fait, on a le même souci partout dans le monde donc ...

Avatar de Altair31 Abonné
Avatar de Altair31Altair31- 20/09/16 à 06:41:30

Avant que ça ne disparaisse à cause de mon signalement :

Surtout pour un constructeur qui a fait du respect de la vie privée l’un des cheveux de bataille

:bravo::roule:

Avatar de Vincent_H Équipe
Avatar de Vincent_HVincent_H- 20/09/16 à 06:43:18

La capacité de révéler les détails autour d'une faille, c'est justement la loi, et elle est de côté du FBI ici.

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 20/09/16 à 06:44:03

J'ai bien ri aussi :mdr2:.

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 20/09/16 à 06:48:05

Il a du oublier le peigne ce matin, ca perturbe :)

Avatar de tibubu257 Abonné
Avatar de tibubu257tibubu257- 20/09/16 à 06:49:05

Une formulation au poil bien qu'un peu tirée par les cheveux !
...
Je sors :D

Avatar de CoooolRaoul INpactien
Avatar de CoooolRaoulCoooolRaoul- 20/09/16 à 06:54:37

Et à part ça, il a pignon sur rue ce "groupe qui lui a vendu la faille de sécurité" ? (pour passer des contrats avec le FBI j'imagine que c'est pas une bande de hackers russes qui se font payer en bitcoins...)

Parce qu'on peut aussi parler du coté moral de l'histoire: des gens ayant connaissance d'une faille de sécurité dans un OS mais qui choisissent de le garder pour eux pour faire du pognon avec (serai pas étonné qu'ils ne le vendent pas uniquement au FBI d'ailleurs) plutôt que contacter le constructeur, pas sur que ça mérite le respect.

(NB: j'assume totalement le coté bisounours de mon point de vue)

Édité par CoooolRaoul le 20/09/2016 à 06:59
Avatar de t0FF INpactien
Avatar de t0FFt0FF- 20/09/16 à 07:02:13

Je suis étonné que la news  ne parle pas de la nouvelle technique qui a été révélé. 
Contrairement à ce que dit le FBI, la méthode de copie matériel puis bruteforce fonctionne. Le chercheur indique qu'elle est réalisable pour 100€ de matériel et jusqu'à l'iphone 6 (source: the hackernews).
Un peu la honte pour le FBI du coup...

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 20/09/16 à 07:04:29

C'est justement ce que demandent les trois entreprises : qui sont les vendeurs ?
Une société, un labo de recherche, un groupe de hackers, Daesh ?

Dans tous les cas, soit ça la fout mal pour le vendeur, soit pour le FBI…

Édité par Mihashi le 20/09/2016 à 07:06
Avatar de mancuso85 INpactien
Avatar de mancuso85mancuso85- 20/09/16 à 07:04:52

Question con: sur un Iphone, il se passe quoi en cas d'essai infructueux répétés sur le code de déverouillage ?
Je sais que les sims se bloque au bout de 3 erreurs, comme les CB, mais pour le téléphone ?

Pasque bon, un code à 4 chiffres, c'est maximum 10000 tentatives. C'est pas non plus la mer à boire.

Je pense meme que sans passer trop de temps (et pour beaucoup moins cher que 1.3 M$), il y a moyen de se construire un mécanisme qui tente toute les combis en mode automatique.

Genre...

Il n'est plus possible de commenter cette actualité.
Page 1 / 6
  • Introduction
  • Le mur du chiffrement
  • Mais qui donc a vendu la faille de sécurité ?
  • Nouvelle requête en tir groupé
  • De la valeur d'une faille
S'abonner à partir de 3,75 €